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(57) Abstract: A secure terminal comprises: primary means consisting of processing means, data and program storage means, 
security means and data input means, wherein the components of the primary means are interconnected by a first data bus; peripheral 
means consisting of printing means, means for reading from/writing to a card and means for accessing a telecommunications network, 
wherein the components of the peripheral means are interconnected by a second data bus; and power supply means connected to the 
primary and peripheral means. The primary means are grouped in a main housing that cannot be dismantled without damaging at 
least one of the components of the primary means, and the peripheral means are grouped in at least one housing capable of being 
connected to the main housing. 

(57) Abrege : Un terminal securise comporte : - des moyens principaux constitues de moyens de traitement, de moyens de memori- 
sation de donnees et de programmes, de moyens de securite et de moyens de saisie de donnees, ces elements constitutifs des moyens 
principaux etant relies entre eux par un premier bus de donnees, - des moyens peripheriques constitues de moyens d'impression, de 
moyens 
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de lecture/ecriture d'une carte et de moyens d'acces a un reseau de telecommunication, ces elements constitutifs des moyens pe- 
ripheriques etant relies entre eux par un second bus de donnees, - des moyens d'alimentation relies aux moyens principaux et pe- 
ripheriques. Les moyens principaux sont regroupes dans un boitier principal indemontable sans deterioration d'au moins un element 
constitutif des moyens principaux, et les moyens d'alimentation et les moyens peripheriques sont regroupes dans au moins un boitier 
apte a etre connecte au boitier principal. 
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Terminal securise 

Domaine technique de ['invention 

La presente invention concerne les terminaux securises, tels que par exemple les 
5 terminaux bancaires ou les terminaux de sante. 

Un terminal bancaire, relie a un reseau de telecommunication, permet de realiser une 
transaction de type bancaire par insertion d'une carte bancaire de type magnetique 
et/ou a puce dans Ie terminal, authentification du porteur de la carte, et saisie de la 
nature et des details de la transaction. 
10 Un terminal de sante, relie a un reseau de telecommunication, permet de maniere 
analogue d'acceder a des donnees de nature medicale ou de securite social concernant 
un porteur d'une carte de sante de type magnetique et/ou a puce. 

1 5 Etat de la technique anterieur 

La figure 1 illustre la schematique fonctionnelle d'un terminal securise TS, notamment 
bancaire, selon Tart anterieur. 

Un tel terminal integre un ensemble de fonctions, telles que : 
20 - une unite centrale 1 de traitement (micro-controleur), 

- un clavier 2, 

- une memoire volatile 3, 

- une memoire non volatile 4, 

- un afficheur 5, 

25 - une imprimante 6, 

- une interface de connexion externe 7 (serie ou parallele), 

- un lecteur de cartes magnetique 8 et /ou a puce 9, 

- un moyen de connexion a un reseau de telecommunication tel qu'un modem 10, et 

- une alimentation 1 1 en energie (batterie et/ou secteur). 

30 

Ces composants sont relies par un ensemble de bus 12 de natures differentes 
(alimentation, memoire, controle) et sont bien connus de I'homme du metier. Le tout 
repose sur un ou plusieurs circuits imprimes repartis dans un ou plusieurs boTtiers. 
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La realisation de ce type de terminal est conventionnelle hormis que certains elements 
de securite doivent etre ajoutes afin d'interdire toutes manipulations pouvant alterer ou 
extraire des informations confidentielles ou financiere (code personnel d'identification 
PIN, transactions bancaires, fichiers medicaux, etc....)- 

5 

Pour des raisons techniques, financieres et de securite, ('unite centrale (micro- 
contrdleur), les memoires et certains peripheriques d'entree/sortie de donnees 
sensibles sont confines dans le meme boTtier. Ce boTtier dispose de detecteur 
d'intrusion afin de garantir Pintegrite du domaine de securite dudit boTtier. La securite 
10 reste principalement physique pour ce type de solution. 

Dans un mode de realisation plus sophistique, les donnees sensibles qui transitent sur 
les bus et entre les unites fonctionnelles sont chiffrees. Ce mode est generalement 
restreint a Punite centrale qui chiffre ces donnees vers les memoires ou les ensembles 
1 5 distants via le modem. 

Differentes configurations sont possibles. 

Une premiere configuration est un ensemble rnonolithique, dans lequel tous les sous- 
ensembles fonctionnels sont regroupes dans un boTtier unique. 

20 Une seconde configuration est Pensemble bi-modules, dans lequel les sous-ensembles 
fonctionnels sont regroupes dans deux boTtiers selon deux combinaisons. Selon la 
premiere combinaison, dans un premier boTtier sont regroupes tous les sous-ensembles 
sauf rimprimante et I'alimentation principale, et dans un second boTtier sont regroupes 
Pimprimante et I'alimentation principale (par exemple le secteur). Selon la seconde 

25 combinaison, dans un premier boTtier sont regroupes tous les sous-ensembles sauf 
I'alimentation principale, et dans un second boTtier se trouve I'alimentation principale 
(par exemple le secteur). 

Seul le premier boTtier qui contient Punite centrale et les peripheriques d'entrees/sortie 
de donnees sensibles est protege centre les intrusions. 

30 

Les solutions traditionnelles imposent une protection globale du boTtier et lient des 
fonctions de valeurs intellectuelles differentes. Ainsi, les fonctions nobles qui sont 
regroupees autour de Punite centrale (memoires et applications) sont de facto reliees a 
la meme echelle de valeur que le boTtier qui les contient. 
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Resume de invention 

Un premier objet de la presente invention est de reduire le cout d'un terminal securise. 
Un second objet de I'invention est d'ameliorer la securite d'un terminal securise. 
5 Au moins un de ces objets est atteint par un terminal securise selon la revendication 1 . 

Avec le terminal securise selon I'invention, les fonctions nobles peuvent etre dissociees 
de celles qui ne le sont pas. 

L'unite centrale, la memoire, les applications et les donnees, ainsi que la securite 
10 associee a proteger ces elements (par exemple le module de securite (SAM), le 
detecteur d'infraction, ou le dispositif de chiffrement) ont une valeur importante au sein 
d'un terminal securise. 

Les peripheriques annexes tels que rimprimante, le lecteur de cartes, le modem ont 
une valeur ajoutee faible. II en va de meme pour ralimentation et la mecanique (boTtier). 
15 Avec le terminal securise selon I'invention, la partie la plus valorisee du terminal est 
detachee des peripheriques annexes et concentre les efforts de securisation. 
Le terminal securise selon I'invention presente done des avantages au niveau 
economique et au niveau de la securite. 

20 Breve description des dessins 

D'autres caracteristiques et avantages de I'invention apparaTtront dans la description 
suivante detaillee et non limitative d'un mode de realisation et de differentes 
alternatives, en reference aux dessins annexes dans lesquels : 

- la figure 1, deja decrite, represente schematiquement les elements fonctionnels d'un 
25 terminal securise, en particulier bancaire, selon Tart anterieur ; 

- la figure 2 illustre schematiquement les elements fonctionnels d'un terminal securise, 
en particulier bancaire, selon I'invention. 

Expose detaille de I'invention 

30 La figure 2 illustre le decoupage fonctionnel d'un terminal bancaire securise TS' selon 
I'invention. 

La partie valorisee est confinee au sein d'un sous ensemble protege SEP qui 
comprend : 
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- une unite centrale 1 , 

- des memoires 3 et 4 dans lesquelles sont stockees des donnees et des applications, 

- un clavier 2 qui est un peripherique delicat a proteger. 

L'ensemble de ces composants sont relies entre eux par un bus 12' classique. 
5 Selon une alternative, I'afficheur 5 peut etre un element constitutif de ce sous ensemble 
protege SEP, en particulier si celui-ci ne dispose pas d'un moyen de chiffrement. 
Selon une autre alternative, I'afficheur 5 peut etre un element constitutif du sous- 
ensemble de base SEB constituant la partie a faible valeur ajoutee. Selon cette 
alternative, une communication chiffree peut etre etablie avec I'afficheur. Dans ce cas, 
1 0 I'afficheur dispose de moyens cryptographiques symetriques ou asymetriques. 

Le sous-ensemble de base SEB comporte : 

- une imprimante 6, 

- une interface de connexion externe 7 (serie ou parallele), 
15 - un lecteur de cartes magnetique 8 et /ou a puce 9, 

- un moyen de connexion a un reseau de telecommunication tel qu'un modem 10, et 

- une alimentation 1 1 en energie (batterie et/ou secteur). 

Ces composants sont relies entre eux par un bus 12" classique. 

20 Ce sous-ensemble protege est insurable, par exemple par I'intermediaire d'un 
connecteur 13, dans un sous-ensemble de base SEB constituant dans la partie a faible 
valeur ajoutee. Le connecteur 13 est par exemple un connecteur de type PCMCIA. 
II n'y a pas de necessite a ce que le sous-ensemble de base SEB soit certifie. 
La ou les parties a faible valeur ajoutee sont regroupees dans un ou plusieurs boTtiers 

25 et Tun deux est destine a contenir le sous-ensemble SEP valorise et detachable. 

Le sous ensemble protege SEP comporte : 

- les applications, 

- Parchitecture electronique du coeur du terminal, 

30 - les moyens assurant la securite (par exemple le module SAM...). 

Le sous ensemble protege SEP constitue un module detachable, aisement distribuable 
et integrable dans un terminal bancaire du meme constructeur ou d'un tiers (OEM 
"Original Equipment Manufacturer" ou ODM "Original Design Manufacturer"). 
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Le sous ensemble protege SEP constitue par exemple un module scelle, indemontable 
sans destruction. II peut etre certifie. II contient le clavier destine a entrer les donnees 
sensibles. La connexion entre le clavier 2 et le microcontroleur 1 du sous ensemble 
protege SEP est directe, interne et non accessible a Pexterieur du sous ensemble 
5 protege. Le scellement du sous ensemble protege SEP interdit toute reparation mais 
autorise I'usage de composants non securises. Ainsi le sous ensemble protege SEP 
peut etre fabrique a partir de composants standards, comprenant en particulier un 
clavier standard dont la securisation est simple et economique. Le niveau de securite 
atteint est celui traditionnellement denomme « detection de fraude evidente » (ou 
1 0 « tamper evident »). 

La solution selon Tinvention permet egalement de resoudre les problemes de migration 
et de maintenance. 

La migration simple pour un client d'un terminal d'une ancienne generation vers une 
15 nouvelle generation presentant des fonctionnalites ameliorees (par exemple nouvelle 
imprimante, afficheur couleur, nouveau modem (wifi ou ADSL)). Avec le sous ensemble 
protege SEP, les donnees sont transferees en toute securite et instantanement vers la 
nouvelle plate-forme de reception (sous-ensemble de base SEB). 
La maintenance est simplifiee en cas de panne du sous ensemble de base SEB car il 
20 suffit de detacher le sous ensemble protege SEP et de I'installer dans un nouveaux 
sous ensemble de base SEB. 

Selon Pinvention, il est possible de normaliser les dimensions et/ou la connectique du 
sous ensemble protege SEP afin de permettre une migration simplifiee pour le 
fabriquant de terminaux. En effet, ce dernier peut faire evoluer I'architecture et la 
25 technologie du sous ensemble protege SEP en fonction des opportunites offertes par le 
marche. 

La maintenance du sous ensemble protege SEP est simplifiee car celui-ci est scelle et 
done jetable. Par construction, ce dernier ne peut etre dernonte sans qu'il soit detruit. 

30 Enfin, du point de vue de Tutilisateur, il est possible de partager un sous ensemble de 
base SEB avec plusieurs sous ensembles proteges SEP lies a differents utilisateurs 
(hypermarche, marche ouvert ...), le sous ensemble protege SEP faisant aiors office de 
« coffre » a donnees personnalise et securise. 
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REVENDICATIONS 

1. Terminal securise comportant : 

- des moyens principaux constitues de moyens de traitement, de moyens de 
5 memorisation de donnees et de programmes, de moyens de securite et de moyens de 

saisie de donnees, ces elements constitutifs des moyens principaux etant relies entre 
eux par un premier bus de donnees, 

- des moyens peripheriques constitues de moyens d'impression, de moyens de 
lecture/ecriture d'une carte et de moyens d'acces a un reseau de telecommunication, 

10 ces elements constitutifs des moyens peripheriques etant relies entre eux par un 
second bus de donnees, 

- des moyens d'alimentation relies aux moyens principaux et peripheriques, 
caracterise en ce que les moyens principaux sont regroupes dans un boTtier principal 
indemontable sans deterioration d'au moins un element constitutif des moyens 

15 principaux, et en ce que les moyens d'alimentation et les moyens peripheriques sont 
regroupes dans au moins un boTtier apte a etre connecte au boTtier principal. 

2. Terminal securise selon la revendication 1, dans lequel les moyens peripheriques 
comportent en outre des moyens d'affichage. 

20 

3. Terminal securise selon la revendication 2, dans lequel les moyens d'affichage sont 
relies aux moyens principaux par un canal de communication par lequel transitent des 
donnees chiffrees. 

25 4. Terminal securise selon la revendication 1, dans lequel les moyens principaux 
comportent en outre des moyens d'affichage. 

5. Terminal securise selon la revendication 4, dans lequel les moyens d'affichage ne 
sont pas certifies du point de vue de la securite. 

30 

6. Terminal securise selon la revendication 1, dans lequel les moyens de traitement, les 
moyens de memorisation de donnees et de programmes, les moyens de securite et les 
moyens de saisie de donnees ne sont pas certifies du point de vue de la securite. 
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7. Terminal securise selon la revendication 1, dans lequel les moyens d'impression, les 
moyens de lecture/ecriture d'une carte et les moyens d'acces a un reseau de 
telecommunication ne sont pas certifies du point de vue de la securite. 
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